如何利用AOP/Aspect来修改方法的入参

已于 2024-03-21 16:23:43 修改
阅读量1.9k 收藏 7
点赞数 7
文章标签: AOP Aspect
于 2024-03-13 14:40:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37892044/article/details/136676287
版权

问题描述:
最近项目代码过三方测试(国企项目),在一系列代码扫描审计检查下,代码发现一部分修改,例如请求参数发生了编码/加密,导致后台需要对请求的参数进行解码/解密,后端那么接口,总不能挨个,挨个的去修改。

由于之前项目中,已经用了AOP进行代码日志的记录,日志记录如下
在这里插入图片描述
原本代码的核心逻辑如下:因此想着,既然这里已经拿到请求参数了,直接在这里统一解码/加密,就不用对每个接口解码了

        MethodSignature ms = (MethodSignature) joinPoint.getSignature();
        methodApiOperation = ms.getMethod().getDeclaredAnnotation(ApiOperation.class);
        if (methodApiOperation != null) {
        	apiOperationDes = methodApiOperation.value();
        }
        logger.info("start-->请求{}模块的[{}]服务",apiDes, apiOperationDes);
        logger.info("  请求地址:{}",url);
        logger.info("  请求方法:{}.{}", abbreviateName(joinPoint.getSignature().getDeclaringTypeName()), methodName);
        Object[] args = joinPoint.getArgs();
        for (int i = 0; i < args.length; i++) {
        	if( !(args[i] instanceof StatHttpServletResponseWrapper)) {
        		logger.info("  请求参数{}:{}",i+1,JsonUtils.javaBeanToString(args[i]));
        	}
        }

修改思路1(利用Json格式化)(失败)

这里的请求参数是args 是Object类型,但是原始方法的请求类型肯定是各种自定的VO类
以解码html为例,我这里首先将Object[]挨个元素转成字符串,然后对整个字符串做html解码,将加码后的字符串,在创建一个新的对象赋joinPoint.getArgs的参数。结果发现修改并没有成功。

DecodeURL decodeURL = ms.getMethod().getDeclaredAnnotation(DecodeURL.class);
if(decodeURL != null) {
	Object[] args = joinPoint.getArgs();
	for (int i = 0; i < args.length; i++) {
	if( !(args[i] instanceof StatHttpServletResponseWrapper)) {
		String decode = StringEscapeUtils.unescapeHtml(JsonUtils.javaBeanToString(args[i]));
		logger.info("  解码Html请求参数{}",decode);
		//修改请求入参
		joinPoint.getArgs()[i] = JsonUtils.stringToJavaBean(decode, args[i].getClass());
		}
	}
}

代码执行逻辑是:

  1. 切面中记录请求参数-----》原始文本
  2. 切面中修改请求参数-----》修改后的文本
  3. 实际请求的controller-----》原始文本(也就是修改没有生效)
  4. 切面中调用请求参数-----》修改后的文本
    在这里插入图片描述

修改思路2(原始对象Set值)(有效,但没意义)

思路1中,我们是重新创建一个请求入参,然后把新的请求入参赋值给原始请求入参(Json格式化返回新的对象)
思路2,我们直接在原始的对象进行set值

DecodeURL decodeURL = ms.getMethod().getDeclaredAnnotation(DecodeURL.class);
if(decodeURL != null) {
	for (int i = 0; i < args.length; i++) {
	/*if( !(args[i] instanceof StatHttpServletResponseWrapper)) {
		String decode = StringEscapeUtils.unescapeHtml(JsonUtils.javaBeanToString(args[i]));
		logger.info("  解码Html请求参数{}",decode);
		//修改请求入参
		joinPoint.getArgs()[i] = JsonUtils.stringToJavaBean(decode, args[i].getClass());
	}*/
		if( (args[i] instanceof QueryResult)) {
			QueryResult query = (QueryResult)args[i];
			//修改请求入参
			query.setName(StringEscapeUtils.unescapeHtml(query.getName()));
		}
	}
}

此时查看实际的请求接口,发现值真的被修改了。
在这里插入图片描述
但是这里有个问题,上诉我是通过直接指定类型,然后强转类型,接着调用原对象的set方法,这是是我已知具体类型,具体字段,这样修改,我还不如直接找到原始的接口,在原来的接口里面修改。
AOP

QueryResult query = (QueryResult)args[i];
query.setName(StringEscapeUtils.unescapeHtml(query.getName()));

实际接口

@GetMapping
@DecodeURL
public void exportNxauto(HttpServletResponse response, QueryResult queryResult) {
	queryResult.setName(StringEscapeUtils.unescapeHtml(queryResult.getName()));
}

修改思路3(反射)

总结下思路1,思路1不用类型转换,也不用指定属性,格式化整个Json,然后对整个Json进行中文解码,但是转Json以后,导致重新创建了一个对象。思路2里面虽然没有创建新的对象,但是需要我们强制转化为某个类型,然后调用某个方式,实际请用场景,每个接口的入参的类型都不一样,具体是那个参数需要解码,所以也不知道调用那个Set方法。

Object[] args = joinPoint.getArgs();
for (int i = 0; i < args.length; i++) {
	if( !(args[i] instanceof StatHttpServletResponseWrapper)) {
    	logger.info("  请求参数{}:{}",i+1,JsonUtils.javaBeanToString(args[i]));
    }
}
ecodeURL decodeURL = ms.getMethod().getDeclaredAnnotation(DecodeURL.class);
if(decodeURL != null) {
	for (int i = 0; i < args.length; i++) {
		/*if( !(args[i] instanceof StatHttpServletResponseWrapper)) {
			String decode = StringEscapeUtils.unescapeHtml(JsonUtils.javaBeanToString(args[i]));
			logger.info("  解码Html请求参数{}",decode);
			//修改请求入参 失败:这里创建了一个新的对象,原始对象没有修改,修改的是新的对象。
			joinPoint.getArgs()[i] = JsonUtils.stringToJavaBean(decode, args[i].getClass());
		}*/
		/*if( (args[i] instanceof QueryResult)) {
			QueryResult query = (QueryResult)args[i];
			//修改请求入参 修改成功,但是太过于狭义,需要知道类型和具体的属性,然后调用Set方法
			query.setName();
		}*/
		if( !(args[i] instanceof StatHttpServletResponseWrapper)) {
			Class<? extends Object> classz = args[i].getClass();
			//使用反射改成功
			for (Field field : classz.getDeclaredFields()) {
				if(field.getType() == String.class) {
					ReflectionUtils.makeAccessible(field);
					Object value = field.get(args[i]);
					if(value != null) {
						ReflectionUtils.setField(field, args[i], StringEscapeUtils.unescapeHtml(value.toString()));
					}
				}else if (Collection.class.isAssignableFrom(field.getType())) {
				    // 字段是集合类型
				}else if (List.class.isAssignableFrom(field.getType())) {
				    // 字段是List类型
				}else if (field.getType().isArray()) {
				    // 字段是数组类型
				}else if (field.getType().isPrimitive()) {
				    // 字段是基本类型
				}
			}
		}
	}
}

接下来,我们看下运行的日志,可以看到,在我们的实际controller接口中,可以看到字符串类型的已经被html进行解码。
在这里插入图片描述

歪桃
关注
  • 7
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AOP修改方法参数
05-12
AOP修改方法参数,如何截取指定方法参数修改参数
aop请求后端的参数修改_Spring Aop 修改目标方法参数和返回值
weixin_39806388的博客
12-20 1680
@Component("changeIdNoAopHandler")public classChangeIdNoAopHandler {private static Logger logger = LoggerFactory.getLogger(ChangeIdNoAopHandler.class);private static final String SECRET_KEY = "1234567...
springbootAOP基础,定义切点方式,获取/修改请求参数
weixin_45131142的博客
07-19 4764
1.AOP介绍 1.六种通知方式 环绕通知:在目标方法执行前和执行后实施增强,可用于日志记录,事务处理等 前置通知:在目标方法执行前实施增强,可用于权限管控等 后置返回通知:在目标方法成功执行后实施增强,可用于关闭流,删除临时文件等 后置通知:在目标方法执行后实施增强(无论方法是否发生异常都执行),可用于释放资源 异常通知:在目标方法抛出异常时实施增强,可用于处理异常,记录日志等 引通知:在目标类中添加一些方法和属性,用于修改目标类 2.AspectJ相关注解 @Aspect:用于定义一个切面,注解
Java | 使用切面AOP拦截并修改Controller接口请求参数
Andya_net的博客
06-29 4850
在开发过程中,会有一些需求将controller层的一些方法进行全量转换,最容易想到的可能是在调用下层service方法时,调用公共的方法进行转换,这时带来的唯一问题就是代码不雅观,比较冗余。那还有什么方法可以更优雅的解决这个问题吗?答案是有的:切面。我们实现一个AOP切面程序,对中的需转换的参数进行专项转换,而无需在各个controller层的各个方法中进行转换处理。
springMvc的Aop解析并修改参数
毅香雪海的博客
01-16 605
springMvc的Aop解析并修改参数
Java Spring 通过 AOP 实现方法参数的重新赋值、修改方法参数的取值
emmmm.....
10-23 3159
方式一:通过环绕通知实现 方式二:通过前置通知 + 反射实现
Aop反射机制实现某个参数修改
名字好难想
12-13 2078
项目中使用敏感字段的加解密,但是有的是直接在url中拼接的 ,所以我就想根据一个自定义注解的方式做匹配 ,修改利用反射的机制实现值的修改 以下是具体的代码 依赖aop <!-- SpringBoot 拦截器 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-b...
SpringAOP修改请求参数列表
CAT
09-25 2952
如题,今天遇到了一个问题,要批量在前端请求之后修改其中的一个参数值。我使用SpringAop拦截请求修改参数值,因为Spring Aop是无法直接根据参数名获取参数的,所以使用MethodSignature首先获取当前方法参数列表,找到对应参数的下标,然后根据下标获取当前参数对应的值。代码如下: private final String execution = "execution(* com.zxy.test.degitaltool.tree.controller.TestController.*
Spring Aop 修改目标方法参数和返回值
热门推荐
Yblsfls的博客
09-13 2万+
aop 环绕通知修改目标方法参数和返回值
AOP方式的函数参数修改
别天神
07-07 8463
AOP方式的函数参数修改 实习时接了一个简单需求,要求在查询数据时,将输的特定用户Id映射为其他Id,完成参数替换。由于涉及的方法实在是太多了,逐个进行代码改造工作量也比较大。最近实习也接触了spring生态,考虑使用AOP方式解决这个问题。 这里主要使用ProceedingJoinPoint类,该类能返回切点方法的许多信息,包括函数名,参数名列表以及参数列表等。根据函数参数列表是否包含us...
利用C#实现AOP常见的几种方法详解
12-31
前言 AOPAspect Oriented Programming的缩写,意为:面向切面编程,通过预编译方式和运行期动态代理实现程序功能的中统一处理业务逻辑的一种技术,比较常见的场景是:日志记录,错误捕获、性能监控等 AOP的本质是通过代理对象来间接执行真实对象,在代理类中往往会添加装饰一些额外的业务代码,比如如下代码: class RealA { public virtual string Pro { get; set; } public virtual void ShowHello(string name) { Console.WriteLine($Hello!{name
aop:aspect
03-21
NULL 博文链接:https://chenhongwei0924.iteye.com/blog/845772
Java利用spring aop进行监测方法执行耗时
05-25
使用 Spring AOP 进行方法耗时监测的好处有以下几点: 1. 代码实现简单,易于维护:使用 Spring AOP 可以将耗时监测的逻辑与业务逻辑进行解耦,避免业务逻辑代码的冗余和代码维护难度的提高。 2. 安全性高:使用 Spring AOP 进行方法耗时监测,可以在不修改业务逻辑代码的情况下,对业务方法进行耗时监测;避免了因为在业务代码中加计时逻辑而导致的安全风险。 3. 可扩展性强:使用 Spring AOP 进行方法耗时监测,可以方便的对其他的切面进行扩展,例如:日志、异常处理、权限控制等切面。 4. 提高系统性能:通过对系统中的方法进行耗时监测,可以及时发现系统中的性能瓶颈,从而进行优化;避免了因为性能问题导致的系统运行效率低下和用户体验差的情况。
springboot+aspect实现springaop拦截指定方法.zip
10-21
项目中含有一整个springboot实现aop的功能,在拦截的方法形式上有两种一种是通过切点设置为拦截某个包路径下面的类中的所有方法;还有一种是基于某个自定义注解的.
AOPAspect 注解切 测试 Demo
10-03
基于 MethodBeforeAdvice、AfterReturningAdvice 利用 Spring Api 定义前、后置处理方法,并通过代理工厂类获取代理对象(代码或Xml配置实现) 2.ProxyFactoryBean 显式地设置 Advisors、Advice、Target等(基于代理...
Rain Water Algorithm雨水优化算法附matlab代码.zip
最新发布
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
基于springboot+vue的房屋租赁出售系统
04-26
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
杭电-[数据结构(c语言版)]复习题纲杭州电子科技大学.pdf
04-26
杭州电子科技大学,期末考试资料,计算机专业期末考试试卷,试卷及答案,数据结构。
<aop:aspect></aop:aspect&gt:
11-22
<aop:aspect></aop:aspect>是Spring AOP中的一个标签,用于实现面向切面编程。它的作用是将横切关注点(如日志、事务、安全等)与业务逻辑分离,从而提高代码的可重用性和可维护性。具体来说,<aop:aspect></aop:aspect>标签定义了一个切面,其中可以包含多个通知(Advice),如前置通知、后置通知、环绕通知等。这些通知可以在目标方法执行前、执行后或者抛出异常时执行,从而实现对目标方法的增强。 <aop:advisor></aop:advisor>也是Spring AOP中的一个标签,用于实现切面编程。与<aop:aspect></aop:aspect>不同的是,<aop:advisor></aop:advisor>标签定义了一个切面通知器(Advisor),它是一个包含切点(Pointcut)和通知(Advice)的组合体。切点用于定义哪些方法需要被增强,通知用于定义增强的具体逻辑。通常情况下,<aop:advisor></aop:advisor>标签用于实现事务管理、安全控制等功能。 因此,<aop:aspect></aop:aspect>和<aop:advisor></aop:advisor>都是Spring AOP中用于实现切面编程的标签,它们的作用略有不同,但最终的实现逻辑是一样的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值